# 安全质量架构
安全质量包括静态代码质量和平台管理质量,避免安全的问题
# 概述
安全质量工具和服务可帮助您解决各种安全和质量缺陷,还能无缝集成到 DevOps 环境中。识别私有源代码、第三方二进制文件和开源依赖项中的漏洞和安全风险,以及应用程序、API、协议和容器中的运行时漏洞, 结合容器质量和其它质量的管理配置。
安全和质量解决方案可以无缝集成到您的开发和 DevOps 团队每天使用的工作流程中。
# 业务架构
以下包含的安全和质量的架构内容如下
# 架构设计
待补充架构图
# 架构内容
- 快速、准确且高度可扩展的静态分析 (SAST) 解决方案,可帮助开发和安全团队在软件开发生命周期 (SDLC) 的早期解决安全和质量缺陷。
- 跟踪和管理整个应用组合的风险,并确保符合安全和编码标准。
- 软件组成分析 (SCA) 帮助团队管理在应用和容器中使用开源和第三方代码所带来的安全、质量和许可证合规风险。
- 详细的操作面板显示 OWASP要求的合规性情况,并在应用泄露敏感信息时显示警报(对于确保符合 PCI DSS 和 GDPR 要求很有价值)。
- 分析了目标二进制文件的开源安全漏洞、版本控制和许可证类型信息。您将能完整了解自定义代码和组件库中识别的所有漏洞。
- 可快速准确地发现网站和应用程序中的漏洞,具有识别整个应用程序组合中的安全风险所需的规模和敏捷性。
- WhiteHat 安全指数提供了一个单一的分数,使您能够衡量 Web 应用程序安全的整体状态,了解平台运行的安全性,
# 技术架构
待补充架构图
# 功能架构
主要功能架构设计如下:
| 序号 | 模块 | 功能 | 描述 | 备注 |
|---|---|---|---|---|
| 1 | 概览 | 安全概览 | ||
| 2 | 资产管理 | 容器资产 | ||
| 服务资产 | ||||
| 4 | 风险管理 | 安全扫描 | ||
| 事件调查 | ||||
| 日志分析 | ||||
| 漏洞检测 | ||||
| 攻击分析 | ||||
| 代码漏洞 | 代码漏洞和各个开源漏洞,合规检测,信息泄漏,SQL注入和跨脚本分析等 | |||
| 5 | 安全防护 | 请求防护 | ||
| 恶意行为防御 | ||||
| 爬虫防御 | ||||
| 6 | 运行配置 | 安全报告 | ||
| 通知设置 | ||||
| 合规检测 | ||||
# 功能包含如下:
待补充
- 自动代码质量检查(code_quality): 扫描检查代码规范。
- 自动静态安全扫描(auto_sast): 根据代码模式,扫描潜在的安全风险,检查像Sql注入, XSS跨站点脚本攻击等。
- 自动密码检测(auto_secret_detection): 扫描检查代码中出现的明文密码。
- 自动依赖检查(auto_dependency_scanning):扫描项目依赖包中的已发布的安全漏洞。
- 自动开源协议检查(auto_license_compliance):扫描依赖的开源协议是否兼容。
- 自动容器安全扫描(container_scan):扫描检查容器镜像的安全漏洞。
# 常见漏洞
在黑客攻击之前找到应用程序中的漏洞
- 应用程序配置错误
- 目录索引
- HTTP 响应走私
- 输入处理不当
- 传输层保护不足
- 操作系统命令
- 远程文件包含
- SQL注入
- XML 外部实体
- XQuery 注入
- 内容欺骗
- HTTP 响应拆分
- 输出处理不当
- 路径遍历
- 路线绕行
- SSL注入
- SQL注入
- 跨站脚本
- 格式化字符串攻击
- 文件系统权限不当
- 信息泄露
- 空字节注入
- 可预测的资源位置
- 服务器配置错误
- URL重定向器滥用
- XPath注入
# 其它
- 无